Bảo mật thanh toán với ATM và SMS

Các thớt khác của mypixnet
11 Tháng chín 2007 lúc 22:52
#1
Với ngân hàng mà bạn đăng ký thẻ ATM, bạn cần đăng ký một số điện thoại di động đi kèm với thẻ ATM đó.

Các bước thanh toán được bảo mật như sau:

Bước 1- Khi có lệnh tính tiền từ giỏ hàng, máy chủ yêu cầu bạn nhập vào dãy số trên thẻ ATM.
Bước 2- Sau khi nhận được dãy số thẻ ATM, máy chủ sẽ phát sinh dãy số ngẫu nhiên như sau:



Trong đó A, B, C, D là các chữ số PIN mà bạn sẽ tự điền vào, các chữ số còn lại do máy tính ngẫu nhiên phát sinh. Vị trí của các chữ số A, B, C, D cũng được phát sinh ngẫu nhiên.

Bước 3- Bạn dùng chính số điện thoại đã đăng ký đi kèm với thẻ ATM nói trên gửi 1 tin nhắn SMS đến tổng đài cho trước, nội dung tin nhắn là dãy số nêu ở Bước 2. Giả sử số PIN của bạn là 7321 thì nội dung tin nhắn là:



Bước 4- Máy chủ sẽ dùng các dữ liệu bao gồm dãy số ATM, số điện thoại và dãy số ngẫu nhiên để xác nhận chủ nhân của thẻ ATM và thực hiện thanh toán.

Xin nói thêm: Việc phát sinh dãy số ngẫu nhiên vừa là cách để nhận ra gói hàng cần thanh toán, vừa là cách tránh cho các chú bên SMS mò ra mã PIN của chủ thẻ.

Làm phiền các bác cho xin ý kiến.
 

SX1

GẮN KẾT
GÂY DỰNG
12 Tháng chín 2007 lúc 20:40
#3
Nói chung là không ai chơi kiểu gửi số PIN tường minh mà không có mã hóa như vậy cả. PIN chỉ dùng cho giao dịch tại ATM hoặc tại POS. Còn nếu online thì phải có OTP (One Time Password), dùng 1 lần rồi vứt. OTP này chỉ tồn tại trong 1 thời gian ngắn do ngân hàng quy định (ví dụ: 30giây, 1phút...)

@HaiNH: Thế nào là sms có khuôn dạng gần nhau? Dãy số nó phát sinh ngẫu nhiên cơ mà? Với lại có gì đảm bảo là có thời gian gửi gần nhau?
 

HaiNH

GẮN KẾT
GÂY DỰNG
NHẬP HỘI
13 Tháng chín 2007 lúc 10:11
#4
@HaiNH: Thế nào là sms có khuôn dạng gần nhau? Dãy số nó phát sinh ngẫu nhiên cơ mà? Với lại có gì đảm bảo là có thời gian gửi gần nhau?
Bác mypixnet đặt vấn đề bảo mật cho PIN khi truyền qua SMS.

Giả sử em chủ định lấy PIN code của một người mà em biết rõ là có thể ăn cắp thẻ (hoặc thông tin thẻ) chẳng hạn, em cũng sẽ có số phone của người đó.

Giả định tiếp theo là em đủ điều kiện như các "chú bên SMS" mà bác mypixnet đặt vấn đề (Nhân viên nhà cung cấp dịch vụ mạng, nhân viên của các công ty cung cấp dịch vụ SMS).

Khi đó em chỉ cần lọc hết các SMS trong 1 khoảng thời gian nào đó liên quan đến 1 số điện thoại đã xác định trước (Nếu em không nhầm thì các nhà cung cấp dịch vụ ở VN hiện nay phải lưu trữ thông tin tối thiểu 6 tháng, chắc các giao dịch thanh toán không xa nhau đến 6 tháng bác SX1 nhỉ).

Khi đó bằng mắt thường em cũng có thể biết được là các SMS nào dành cho thanh toán, SMS nào để tán gái. Còn viết 1 phần mềm để so sánh nội dung các SMS (chuỗi text 160 ký tự) xem có cái nào chỉ khác cái khác 4-6 ký tự là chuyện rất nhỏ của dân phần mềm.

Vậy khi em lọc được 1 cặp SMS (2 chiều) rồi thì em có phân biệt được PIN là gì không ạ?

Có thể biện minh là người dùng dịch vụ thì phải "tin" nhà cung cấp. Nhưng thử hỏi các ngân hàng là đối tác cung cấp dịch vụ liệu có "dám tin" các nhà cung cấp hay không? Em không tin là các ngân hàng dám làm vậy.

Hôm trước em có được đọc 1 số giải pháp kỹ thuật mà các công ty SMS họ viết, họ gọi cái này là giải pháp mã hóa "Ma trận password" thì phải :)

Nói chung là em đồng ý với bác SX1 là cần dùng giải pháp OTP nếu muốn dùng qua SMS chứ kiểu mã hóa nửa mùa vậy nếu đặt em vào vị trí người sử dụng dịch vụ em sẽ không dùng.
 

SX1

GẮN KẾT
GÂY DỰNG
13 Tháng chín 2007 lúc 14:54
#5
À, ừ. Mình bỏ qua mất là hoàn toàn có thể biết được số điện thoại gửi SMS để dò ra tin nhắn.

Có thể biện minh là người dùng dịch vụ thì phải "tin" nhà cung cấp. Nhưng thử hỏi các ngân hàng là đối tác cung cấp dịch vụ liệu có "dám tin" các nhà cung cấp hay không? Em không tin là các ngân hàng dám làm vậy.
Cái này thì chắc chắn không thể "tin" được. Vì có lẽ là đa số các vụ giả mạo, ăn cắp thông tin là do "nội bộ" gây ra (công ty điện thoại, ngân hàng...) vì những người "bên trong" là những người có cơ hội lớn nhất để tiếp cận thông tin. Không kìm được lòng tham là xyz ngay.
 

Bài viết cần bạn xem thêm

Em có mua 1 cái laptop Asus ROG trên tiki 28tr đc công ty tài trợ 16tr, nhưng hoá đơn tiki xuất cty em nó hok đồng ý. Nó bảo >20tr thì bên thuế quy định tiền phải đc ck từ tk cty, mà lúc mua em lỡ dùng thẻ credit cá nhân rồi. Em gọi tiki để nhờ nó là ...
Lazada Vietnam Master card on Monday